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Sicher&eitssystem fiir Gerate eines drahtlosen Netzwerks 

Die Erfindung bezieht slch auf ein Sicherheitssystem fttr draMose Netzwerke mit 
einer ersten tragbaren Einheit (1) mit einem Speicher (3) zqr Speicherung eines 
weltweit eindeutigen Schliisseldatensatzes (4), die zur Kyrzstreckeninfoimations- 
tfbertragung des Schliisseldatensatzes (4) vorgesehen 1st. In wenigstens einem 
drahtlosen Ger&t (2) des Netzwerks ist eine Empfangseinheit (7) vorgesehen, die einen 
EmpSnger (9) zum Empfeng des Schlflsseldatensatzes (4) und eine Auswerte- 
komponente (1 1) des Gerates zur Speicherung, Verarbeitung und/oder Weiterleitung . 
des Schliisseldatensatzes (4) Oder eines Teils des Schltisseldatensatzes in eine zw.eite 
Komponente aufweist. Durch den Schltlsseldatensatz eriangen die Gerfite des drahtlosien 
Netzwerks einen gemeinsamen geheimen SchTQssel, mit Hilfe dessen die Ver- und 
EntsGhltisselung der iibertragenen Nutzdaren und/oder die Authentifizierung 
vorgenonunen wird. 



Fig. 1 



20 
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BESCTmFTRTrNIO 

Sicherheitssystem fSr Gerate eines drahtlosen Netzwerks 

Die yorliegende Erfindung bezieht sich allgemein auf ein Sicherheitssystem ftir 
drahtlose Netzwerke. 

5 

Der Einsatz von drahtloser Kprrrounikatiori zur UnterstQtzung mobiler Gerate (wie 
Schnurlostelefone) oder als Ersatz fur drahtgebundene Lfisungen zwischen stationsreu 
Geraten (z. B. PC und Telefonanschlussdose) ist schon heute weit verbreitet 

10 fctlr zukunftige digitale Haijsnetzwerke bedeutet das, dass sie typischerweise nicht nur 
aus mehreren drahlgebundenen GerSten, sondern auch aus mehxeren drahtlosen Geraten 
bestehen. Bei der Realisierong digital er drahtloser Netzwerke, insbesondere Hausnet2- 
werke, werden Funlctechnologien wie Bluetooth, DECT yrtd vor allem der IEEE802.il 
Standard fur „ Wireless Local Area Network" verwendet Drahtlose Kommunikation 

1 5 kann auch liber Infrarot (IrDA) erfolgen. 

Desgleichen werden auch andere der Information oder Unterbaltung der Nutzer 
dienende Netze zukQnftig urtter anderem auch drahtlos Icoznmunizierende Gerate ent- \ 
halten- Insbesondere seien hier.sogenannte Ad-hoc-Netzwerke genannt, bei dehen es 

20 sich um temporSr eingeribhtete Netzwerke mit im AUgemeinen GerSten verschiedener 
BesitzerbandelL Ein Beispiel solcher Ad-hoc-Netzwerke findet sich in Hotels: ein Gast 
wird z. B. die Musiksttlcke auf seinem mitgebrachten MP3-Spieler.ttber die Stereo- 
anlage des Hotelzimmers wiedergeben wollen, Ein weiteres Beispiel sind alle Arten von 
Treffen, bei denen sich Menschen mit drahtlos kommunizierenden Ger&ten zum 

25 AuStausch von Daten oder Medieninhajten (Bilder, Filme, Musttc) zusammen finden. 

Bei Verwendung von Funktechnologien k6nnen Gerate wie zB. ein MP3-Speicher* 
Gerat und eine HiFi-Anlage drahtlos liber Funkwellen als Datenleitung miteinander 
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. kommunizieren. PrinzLpiell gibt es dabei zwei Betriebsarten. Entweder kommunizieren 
die Geratc direkt von Gerat zu Gerat (als Peer-to-Peer-Netzwerk) oder tiber einen 
zentralen Zugangspunkt (Access Point) als Verteilerstation. 

5 Je oaxxh Standard haben die Funktechnologien Reichweiten von mehreren 1 0 Metern in 
Gebauden (EBEE802.1 1 bis zu 30m) und mehreren 100 Metem im Freien (IEEE802.il 
bis zu 300m). Funkwellen durchdringen auch die Wande einer Wohnung Oder eines 
Hauses. Im Abdeckungsbereich eines Funknetzes, also innerhalb der Reiohweite kSnnen 
die tibertragenen Informationen prinzipiell von jedem EmpfSnger, der mit eider ent- 
10 sprechenden Funkschnittstelle ausgeriistet ist, empfengen wetden. 

Daraus ergibt sich die Notwendigkeit, drahtlose Netzwerke gegen unbefugtes oder auch 
unbeabsiohtigtes AbhSren der tibertragenen Infoimationen, sowie gegen unbefugten Zu- 
gang zum Netzwerlc und damit zu dessen Ressourcen besonders zu schtttzen. 

15 

Methoden zur Zugangskontrolle und zum Schutz der ubertmgenen Informationen sind 
in den Funkstandardg enthalten (z.B. bei EEEE802. 1 1 in „ IEEE802.1 1 , Wireless LAN 
Medium Access Control (MAC) and Physical Layer (PHY) specifications. Standard, 
IEEE'\ New York, August 1999, Kapitel 8). AUgemein in Fuuknetzen als auch speziell 
20 im IEEE802. 1 1 Standard beruht jede Form der Daiensicherheit letztlich auf geheimen 
Verschlilsselungscodes (SchlQsseln) oder Keimworten, die nur den befugten 
Kommunikationspartnern bekannt sind. 

Zugangskontrolle bedeutet, zwischen befugten und unbefugten GexEten unterscheiden 
25 zu konnen, d.h. ein Zugang gewShrendes Gerat (z.B. ein Access Point, oder ein Gerat 
eines Heim- oder Ad-hoc-Neterwerks, das eine Kommuuilcationsanforderung erhfilt) 
kann anhand von tlbermittelten Informationen entscheiden, ob ein Zugang fordenides 
Gerat befugt ist. Bei einem Medium wie Funic, das leicht abgehort werden kann, ist 
dabei die einfache tlbettragung von Zugangscodes oder die Verwendung von 
30 Identifikatoren (die vora Zugang gewShrenden Gerat mit einer Liste von Identifikatoren ' 
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befugter Gerate verglichen werden kann) itnzureichend, da ein unbeft^s Qerat durch 
Mithdren dieser tlbertragung unberecMgt an die notwsndigen Zugangsinformationen 
gelangen kann. ' 

5 Das in Zusammenhang mit IEEE802. 1 1 verwendete sogenannte MAC-Address- 

Filtering stellt in seiner einfechen Form keinen sioheren Schutz dar. Bei dieser Methode 
speichert der Access Point die Liste der MAC (Media Access Ckmtrol>Adressen der 
zum Zugrifif auf das Netzwerk befugten Gerate. Versucht ein unbefugtes Gerat auf da s 
Netzwerk zuzugreifen, wird es aufgrund der dexn Access Point unbekannien MAC-' 

10 Adresse zuriickgewiesen, Neben der fur Hausnetzwerke inakzeptablen Benutzer- 
unfreundlichkeit der notwendlgen Wartung einer MAC^Adressen-Liste hat diese 
Methode vor altem den Nachteil, dass es mflglich ist, MAC-Adressen vorzutfiuschen. 
Somit muss es einem unbefiigten Benutzer tiur gelingen, Kenntnis einer "befugten" 
MAC-Adresse zu erhalten, was wiederunx beim Belauschen des Funkverkehrs einfach 

1 5 mCglich ist, Deshalb wird Zugangskontrolle mit einer Authentiflzierung gekoppelt, die 
auf einem geheimen Schlllssel oder Kennwort beruht 

Im IEEE802. 1 1 Standard ist die ,, Shared-Key-Authentifizierung t, definiert, bei der sich 
ein befugtes Ger£t duxch die Kenntnis eines geheimen Schltissels auS2eichnet Die 

20 Autbentifizierung wird dann wie folgt vorgertommen: Urn die Befugms festzustellen, 
pendet das Zugang gewHhren.de Gerat einen Zufallswert (Challenge), den das Zugang 
fordernde Gerat mit dem geheimen Schliissel verschittsselt und zurttcksendet Dadyrch 
Vapn das Zugang gewShrende Gerat die Kenntnis des SchlOssels und damit die Zu- 
gangsberechtigung verifizieren (diese Methode wird in seiner allgemeinen Form auch . 

25 "Challenge-Response-Methode" genannt). 

Bei der VerschlQsselung werden die ttbertragenen Infonnationen vom sendenden Gerat 
verscblQsselt und vom empfangenden Ger&t entschliisseit, so dass die Daten fiir einen 
unbefugt oder unbeabsichtigt Mith6renden wertios sind. Der IEBE802,1 1 Standard 
30 verwendet dazu die Verschlusselungsmethode Wired Equivalent Privacy (WEP). Dabei 
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wird ein alien GerSten des Netzwerks bekannter, aber sonst geheimer SchUIssel (40 Bit 
oder 104 Bit WEP-Schlttssel) verwendet, der als Parameter in den im IEEE802.il 
Standard festgelegten VerscbHisselimgsalgorithmus zur VerschlOsselung der zu ttber- 
tragenden Daten eingeht. 

5 • 

Im Falle von WEP wird derselbe Schliissel auch zur Authentifisierimg verwendet 
Neben "symmetrischen 11 Verschltlsselungsver&Jiren (mit einem "shared key 11 ) gibt es 
auch die sogenannten public/private key-Verfehren, bei denen jedes Ger&t einen 
allgemelu bekannten SchlQssel (public key) zum Verschliisseln bereit stellt und einen 

10 dazugehtfrigen, nur diesem Gerat bekannten geheimen Schlttesel (private key) besitzt, 
der das EntschKzsseLn der mit dem public key verschlftsselten Informationen ermaglicht. 
Dadurch ist Abhtfrsicherheit ohne einen im Voraus bekannten^gemeinsamen geheimen 
Schliissel meglich. Bei Anwendung dieser Art von Verfahren i$t es jedoch einem 
beliebigen Gerat moglich, unter Nutzung des allgezriein bekannten Schlttssels die Kom- 

1 5 munikation zu einem Gerat (z.B. einem Zugang gewahrenden GerSt) axifzunehmen. 
Deshalb ist auch hier eine Authenjifi zi erung zur Zugangskontrolie notwendig, die 
wiederum auf einem geheimen Schlussel beruht, der im Voraus den Kommunikations- 
partnem bekannt sein muss, 

20 Zur ErhShung der Datensicherheit kOnnenNetzwerkgerate Mechanismen zur Verein- 
barung von tempor&ren Schltisseln beinhalten, also Schltisseln, die nur eine festgelegte 
Zeitspanne lang zur Verschlusselung verwendet werden, so dass nicht immer derselbe 
geheime Schltissel verwendet wird. Der Austausch dieser temporSren Schlftssel . 
erfordert aber eine abhSrsichere Ubertragung, die wiederum zumindest einen ersten 

25 geheimen Schliissel ben5tigt> der im Voraus den Kommiuiikationspartnern bekannt sein 
muss. Wesentlich fljr die Erfindiing ist, dass auch die Datensicherheit durch Ver- 
schlOsselung auf einem (ersten) geheimen' Schliissel beruht, der im Voraus den 
Kommunikationspartnem bekannt sein muss. 



30 
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Um ein Sicherheitssystem fur drahtlose Netzwerke zu schaffen, ist deshalb ein Konfi- 
gurationsschritt notwendig, der alien reievanten Geraten einen geheimen Schliissel (fQi 
Autbentifizierimg.und/oder Verschlttsselung) zur. Verffigung stellt. 

5 Dabei ist eine Besondeiheit drahtloser Netzwerke, dass dieser Schliissd nicht als 

"Klartext" (unverschliisselt) ttber die drahtlose KommunikatjQnsschrtittstelle ttbertragen 
werden sollte, da sonst ein unbefugtes Gerat durch mithoren uriberechtigt an den 
Schliissel gelangen kann, Zwar kann durch Kodierverfehren, wie Diffie-Hellman, die 
abhorsichere Vereinbarung eines gemeinsamen geheimen Schliissels zrwigchen zwei 

10 v Kommxmikationspartnem tiber eine Funkschnittstelle eireicht werden. Urn jedoch zu 
verhindern, dass ein unbefugten Gerat die Schlilsselvereinbarung mit einem (Zugang 
gewahienden) Gerat des Netzwerkes initiiert, muss auch dieses Verfahren mit eirier 
Authentifi2ieruq.g der Kommurdkationspartner gekoppelt sein, was wiederum einen 
(ersten) geheimen Schliissel erfbrdert, der im Voraus den Kommunikationspartnem 

15 bekaiint sein muss. 

Bei Schnurlosfelefonen nach DECT-Standard ist ein erster SchlGssel bereits ab Werk in 
den Geraten (Basisstation und HOrer) gespeichert. Zur Anmeldung eines neueh HGrers 
. an der Basisstafion. muss der Schliissel (PIN-Nummer), der in der Basisstation ge- : 
20 speichert ist, vom Bemrtzer am neuen HSrer eingegeben warden. Da der Benutzer den 
Schliissel dazu kennen muss, ist dieser 2.B. auf Aufklebern an der Basisstation 
verfugbar. 

IEEE 802. 1 1 basierte Firmen- oder Campus-Netzwerke mit einer dedizierten Infira- 
25 struktur werden im allgemeinen von speziell ausgebildeten Systemadministratoren 
konfiguriert. Diese benntzen im allgemeinen System-Management-Rechner, die draht- 
gebundene Verbindungen zu jedem Access Point besitzen. "Ober diese drahtgebundenen 
(und damit quasi abhflrsicheren) Verbindungen werden die geheimen Schliissel (z.B. 
WEP-Schliissel) zu den Access Points Qbertragen. Die Schliisseleingabe an den 
30 Klienten (z.B. drahtlose Laptops) erfolgt von Hand. 



I 
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• Die Durohfttbrung eines Konfigurationsschrittes zur Installation sines ersten geheimen 
Schlttssels wird zwar vorausgesetet (und die notwendigen Konfigurationsschritte sind 
in Software-Schnittstellen definiert), aber die Realisierung istnioht festgelegt Der 
IEEE802.1 1 Standard beinhaltet dazu in Kapitel 8.1 .2 folgendes Statement: "The 
5 required secret shared key is presumed to have been delivered to participating STAs 
(stations) via a secure channel that is independent of IEEE 802. 1 1 . The shared key is 
contained in a write only MIB (Management Information Base) attribute via the MAC 
management path." 

1 0 Der Erfindung liegt die Aufgabe zijgrunde, eine benutzerfteundUche Installation eines 
geheimen Schliissels in den GerSten eines drahtlosen Netzwerks zu realisieren. 

Die Aufgabe wird gelost durch ein Sicherheitssystem fur drahtlose Netzwerke , , 
ausgestattet mit ... 
15 - einer ersten tragbaren Einbeit mit einem Speicher zur jSpeicherung eines weltweit 

eindeutigen Schliisseldatensatzes, die zur Kurzslreclceninformationstibertragimg des 
Schlusseldatensatzes vorgesehen ist, und 
- mindestens einer Empfangseinheit in wenigstens einem drahtlosen GerSLt des Netz- 
werks, die einen EmpfHnger zum Empfkng des Schlusseldatensatzes und eine 
20 Auswertekomponente des GerStes zur Speicherung, Verarbeitung und/oder 

Weiterleitung de$ Schliisseldatensatzes oder ernes Teils des SchlQsseldatensatzes in 
eine zweite Komponente aufweist. 

Je4es drahtlose Gerat des Netzwerks hat sowohl eine Funkschnittstelle zum tJbertragen 
25 von Nutzdaten als auch eine Empfangseinheit zum Empfang eines Schlusseldatensatzes 
von einer ersten tragbaren Einheit. Zur Sicherung des drahtlosen Nutzdatenverkehrs 
zwischen den Geraten wird in jedes Gerat abhorsicher ein SchlUsseldatensatz einge- 
geben, durch den diese GerSte einen gemeinsamen geheimen Schltissel erlangen, mit 
Hilfe dessen die Ver- und Entschliisselung der Ubertragenen Nutzdaten und/oder die 
30 Authentifizierung vorgenommen wird. 
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Der Schltisseldalensatz ist 1m Speicher der tragbaren Einheit gespeichert, die uber einen 
Sender oder einen Sender mit Detektoreinheit zur KurzstxeckenUbertragung verfilgt. 
Damit wird der Schliisseldatensatz abh6rsicher in jedes drahtlose.Gerat des Netzwerkes 
eingegeben. Zur AuslGsung einer Schlusseldatensat2Sibertragung kaon eine Taste an der 
5 , Einheit dienen. Abhfingig von dem verwendeten Verfahren zur Kurzstreckerrinfor- 
mationstlbertragung kann die AuslOsung einer Schltisseldatensatzttbertragung aber auch 
dadurch erfolgen, dass die Einheit in unmlttelbare NShe der Empfangseinheit gebrachl 
wird und die Detektoreinheit die SchlOsseldatensatzttbertragung auslGst. 

1 0 Der SchlOsseldatensatz enthalt als wesentlichen (und mOglicherweise einzigen) Be- 
standteil einen geheimen Schliisselcode ( n Schltissel M ). Zum Empfeng des Schliissel- 
datensatzes verftxgt jedes drahtlose Gerat des Netzwerkes tiber eine Empfangseinheit 
bestehend aus einem Empfanger und einer Auswertekomponente, die nach Erhalt des 
SchlBsseldatensatzes den Schlttssel extrahiert und diesen uber eine interne Schnittstelle 

■ 1 5 an die fQr die Ver- und Entschliteselung der Nutzdalen zustandige zweite Komponente 
(z.B. die fQr <lie Steuerung der Funkschnittstelle zustandige Treibersoftware) weiter- 
leitet. 

Bin durch die tragbare Einheit verwendetes Verfehren zur Kurzstreckeninfotmations- 
20 ttbertragung kann auf moduliejten magnetischen-, elektromagnetischen Feldem, sowie 
Irtfrarot- oder sichtbarem Licht, Ultra- Oder Infraschall oder beliebigen anderen, in ihrer 
Reichwcite kontroUierbaren Obertragungstechnologien basieren. Die Ubertragung des 
Schltisseldatensatzes kann such durch ein mehrdimensionales Muster auf der Ober- 
flache des Senders realisiert werden* welches von der Empfangseinheit ausgelesen wird. . 
25 WesSntlicb flir die Erfindung ist, dass eine Technologie rnit sehr kurzer Reichweite 
(wenige Zentimeter) oder kuizer Reichweite und starker lokaler Begrenzung (z.B. 
hrfrarot) benutzt wird, so dass die Eingabe der Schlusseldatensatz aus einer sehr kurzen 
Distanz stattfindet und auf keinen Fall die WSnde eines Raumes durchdringen kann. 



30 
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Ein besonderer Vorteil ,dieser Losung besteht darin, dass Unbefugten der Empfang des 
Schlusseldatensatzes nioht mSgiich ist. Die Ubertragimg des Schlusseldatensatzes kann 
durch einen Tastendruck an der tragbaren Eiiiheit ausgelast werden oder - z.B. bei 
Verwendung von Hpchfrequenz-Traiisppndertechnologie (Icontalctloser RF-tag* 
5 Technologie) - auch dadurch, dass die tragbare Einheit in unniittelbarer Nahe der 

Empfengseinheit platziert wird. Sornit ist das Eingeben des Schlusseldatensatzes in ein 
Gerat fQr einen Benutzer durch Annahem der tragbaren Einheit an das Ger&t (oder 
Richten der Einheit auf das Gerat) und eventuelles Betatigen einer Taste an der Einheit 
besonders ehrfech und unkompliziert. Der Benutzer benotigt auch keine Kenntnis ftber 
10 . den Inhalt des Schlusseldatensatzes bzw. den geheimen SchlusseL Ein Fachmann flir die 
Eingabe und die Administration des ScWttsseldatensatees ist nicht notweniig. Die 
Benutzerfreuiidlichkeit ist ein weiterer besonderer Vorteil dieser Losung. 

Drahtlose Netzwerke, insbesondere Hausnetzwerke, sollten Zugriff nicht nur fur 
15 standige Benutzer des Hausnetewerks (z.B. EigentUmer) bieten, sondem auch einen ggf. 
beschrSnkten Zugriff flir temporare Benutzer wie z.B. Gaste ermoglichen. 

Erne vorteilhafte Weiterbildung der Erfindung besteht aus einer als SchlQsselgenerator 
bezeichneten Kompcmente, die zur Erzeugung zusatzlicher SchltfsseldatensStze dient 
20 Der Schltisselgenerator ist eine zusatzliche Komponente der ersten tragbaren Einheit 
oder in einer zweiten separaten tragbaren Einheit realisiert. 

Bin vom Schltisselgenerator erzeugter Schlttsseldatensatz, sog, Gast-Schltisseldatensatz, 
ist so aufgebaut, dass er winner (z.B. durch spezielie Bits im SchhlsseJdatensatz) von 

25 einem im Speicher der Einheit gespeicherten (Heim-)Schliisseldaten$atz unteischieden- 
werden kaim, Ebenso ist bei einer Eingabe eines Schlttsseldatensatzes immer kiar.ob 
ein Heim-Schlttsseldatensatz oder ein Gast-Schltisseldatensatz eingegeben wird, Dazu 
hat die tragbare Einheit mit Speicher und Schltisselgenerator mindestens zwei Tasten 
(eine, urn die Obertragung des Heim-Schliisseldatensatzes aus dem Speicher auszuIBsen 

30 und eine, lim die Obertragung eines Gast-Sdhltisseldatensatzes auszulosen). Ist. der 



turn 29.07.02 -16:08 FAXG3 Nr: 556420 von NVS:FAXG3.I0.01 01/0241 70401 70 (Seite 12 von 28) 




PHDE020188 

-9- 

Schltisselgenerator in einer separates zweiten Eioheit realisiert, so ist diese eindeutig 
(z.B, durch Farbe, Aufschrift etc,) von der Einheit mit dem Heim-Schltisseldatensatz 
unterscheidbar. 

5 Bin Gast-ScMusseldatensatz wird benuizL, urn Gfistea Zugriff auf Ressourcen des 
Netzwerks zu gewShren. Dazu wird an alien betreffenden (das heiBt fQr die Nutzung in 

Verbindung mit den Geraten des, Gastes freigegebenen) Geraten des Hausnetzwerks und 

i 

den Ger&ten des Gastes (die nicht zum Hausnetzwerk gehSren) ein Gast-SchlOssel- 
datensatz eingegeben, mit Hilfe dessen die Ger&te des Gastes (z.B. Laptop) mit den 

1 0 betreffenden Geraten des Hausnetzwerks kommunizieren k6nnen« In einer alternativen 
Auspragung wird der Gastschliisseldatensatz dem Netzwerk einmal bakanntgegeben ¥ 
(z.B. durch Eingeben in eines der zum Netzwerk gehorigen Ger&te) und brauoht dann 
bei Bedarf nur noch in die Ger&te des Gastes eingegeben zu werden; damit sind dann 
alle Gerate des Netzwerks fiir die Benutzung mit den Geraten des Gastes freigegeben. 

15 Die Steuerung, auf welche Daten innerhalb der fireigegebenen Gerate der Gast Zugriff 
haben soil, muss an anderer Stelle erfolgen. 

Um dem Benutzer die Kontrolle fiber die Dauer des gewahrten Gast-Zugengs zum 
Hausnetz zu.ermoglichen, wird automatisch nach einer festgelegten Zeitspanne Oder 

20 • durch Benutzer-Interaktion der Gast-Schlusseldatensatz in den GerSten des Haus- 
netzwerks gelCscht. Eine Benutzer-Interaktion zur LSschung eines Gast-SchlUssel- 
• datensatzes kann z,B. die nochmalige Eingabe des aktuellen Heim-SchTussel-> r 
datensatzes, ein spezieller Tastendruck an den betrofienen Hausnetz-Ger&ten oder an 
einem der betroffenen Hausnetz-Gerate und nachfolgende automatische Information 

25 aller anderen betroffenen Hausnetz-Ger&te durch dieses Ger£t setn. 

Um eine unbefugte Benutzung eines Gast-Schltisseldatensatzes durch einen fiiiheren 
Gast zu verhindern, erzeugt der Schlttsselgenerator nach einer festgelegten Zeitspanne 
(z.B. 60 Minuten) nach der letzten Gast-Schlusseldatensatziibertragung automatisch 
30 einen neuen Gast-Schittsseldatensatz nach dem ZufaUsprinzip. Dadurch erhalt ein neuer 
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Gast einen anderen Gast-SchlOsseldatensatz als der vorherige, woduroh siohergestellt 
ist, dass der vorherige Gast die Anwesenheit des neuen Gastes nicbi zmn unbefUgten 
Zugang zum Hausnetz ausnutzen kann, 

5 Ad-hoc-Netzwerke stelien eine weitere Auspxagung drahtloser Netewerke dar 5 in denen 
temparflr eine Anzahl von Ger&ten zur Kommnnikation in einem gemjednsamen Netz- 
werk fieigegeben werden sollen, In Shnlicher Weise wis beim Gastzugriff auf Hausnetz- 
werlce, bei dem mittels eines Gast-Schlfisseldatensatzes einzelne GastrGerate flir den 
Zugriff auf 4as Hausnetzwerk freigegeben werden, sollen beim Ad-hoc-Netzwerk 

1 0 Gerate anderer Besitzer mit nxindestens einem Gerat des Benutzers kommunizieren 
kannen, Dazu gibt der Benutzer einen Schliisseldatensatz, hier Ad-hocrSchltlssel- 
datensatz genannt, in alle Ger&te des Ad-hoc«Netzwerks (seine eigenen und die der 
anderen Benutzer) ein. Der Ad-hoc-Schltisseldatensatz kann in einer AusprSgung ein 
Gast-Schltlsseldatensatz sein, er kann aber auch als Ad-hoc-Schlflsseldatensatz • 

15 eindeutig gekennzeichnet seiii. . 

Es ist bevorzugt, dass die Schliisseldatensfitze aus Bitfolgen bejstehen, wobei jede 
Bitfolge in einem vordefinierten Format (z.B. als 1024-Bit Sequenz) tibertragen wird. 
Die gesamte Bitfolge oder ein Teil davon wird von der Empfangseinheit als Schlfissel 

20 weitergeleitet Falls die Bitfolge neben dem Schlussel zusatzliche Bits beinhaltet, so ist 
genau festgelegt, welcher Teil der Bitfolge als Schlttssel verwendet wird (z.B. die 128 
low-order Bits) und welche Bits der Bitfolge welche zus&tzlichen Informationen 
beinbalten. Weitere Informationen kSnnen dabei Kennzeichnungeh sein, die fiber die 
Art des S.cblCisseldatensatzes (Heim- 9 Gast- Oder Ad-hoc-) informieren oder Angaben 

25 fiber die LSnge und Anzahl der Schltisselcodes enthalten, falls mehxere Schliisselcodes' 
gleiohzeitig tibertragen werden. Im Falle dass die Empfangseinheit ftir weitere An- 
wendungen genutzt wird, kennzeichnen die zusatzlichen Bits auch die Verwendung der 
Bitfolge als Schliisseldatensatz, 



30 
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Damit in zwei benachbarten Hausnetzwerken nicht der gleiche (He?m«)Schlf»sseI 
venvendet wird, sollte dieser global eindeutig sein. Dies kann erreicht werden z.B. 
indem verschiedene Einheiten^Hersteller uriterschiedliche Wertebereiche von Schliissel- 
codes benutsen und innerhalb dieser Bereiche so welt wie mSglich in kelnen zwei 
5 Einheiten den gleichen Schltisseldatensat2 speichem. 

Bin nach dem IEEE802. 1 1 Standard arbeitendes Netzwerk ist ein weit verbreitetes 
Beispiel fur drahtlose Hausnetzwerke. In einem IEEE802.1 1 Netzwerk kama der zu 
ilbertragene SchlOsseldatensatz einen oder mehrere Wired Equivalent Privacy (WEP) - 
10' Schliissel enthalten. 

Die Eingabe des (Heim-)SchlOsseldatensatzes kann auch in Schritten zur Konfiguration 
des Netzwerks stattfinden, so dass zu Beginn der Konfiguration die Eingabe/ Install 
tion des Schliisseldatensatzes verlangt wird, Dadurch ist wahrend des gesamten Konfi- 

15 guratioiisprozesses eine abhersichere Kommunikation der Gerate untereinander, sowie 
eine Zugangskontrolle (befugt sind alls Gerate, die iiber den Schlflsseldatensatz 
verfugen) gewahrleistet. Dies ist inpbesondere vorteilhaft bei der Anwendung 
automatisierter Konfigurationsverfehren, d.h. Verfahren ohne Beftutzer-Interaktion 
(basierend aitf Mechanismeii wie zJ3. IPv6 Auto-Koiifiguration und Universal Plug and 

20 Play (UPnP)). 

In einer bevorzugten Ausfilhrungsfonn ist die tragbare Einheit in eine Fernbedienung 
eines GerStes des Hausnetzwerks integriert. 

25 Die Erfindung betrifift audi eine tragbare Einheit zur Installation eines gemeinsamen 
Schltissels in wenigstens einem Gerat eines drahtlosen Netzwerkes nut einem Speicher 
zur Speicherung eines weltweit eindeutigen ScMlisseldatensatzes, die zur Kurzstrecken- 
iixformationsubertragung des Schliisseldatensatzes vorgesehen ist 

30 
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Weiterhin betriftt die Erfindung ein elektrisches Ger&t mit einer Empfangseinheit, die 
einen EmpfSnger 2um Empfang eines Schiusseldatensatzes und eine Auswerte- 
. komponente des GerStes 2ur Speicherung, Weiterleltung und/oder Verarbeitung des 
Schltisseldatensatzes oder eines Tails des Schiusseldatensatzes in eine zweite 
5 Komponente aufweist 

Ausfiihningsbeispiele der Erfindung werden nachstebend anhand der Abbildung Fig. 1 
naher erl&utert; Es zeigen: 

10 Fig. 1 eine schematisohe Darstellung zweier Einheiten und eines GerStes, 
Fig. 2 Biockschaltbild einer Einheit als Sendeeinheit bei Verwendung von 

Hoch&equenz-Transponderteohnologie, 
Fig. 3 Biockschaltbild einer Einheit als Empfangs- und Sendeeihheit bei Verwendung 
von Hodi&equenz-Transpondertechnologie^ und 
1 5 Fig. 4 Biockschaltbild einer Einheit als eine Gasteeinheit bei Verwendung von 
Hocbfrequen2>Transpondertechnologie 

Anhand Fig. 1 wird die Installation eines elelctrischen Genites in ein Hausnetzwerk, das 
aus hier nicht dargestellten, drahtlosen und drahtgebundenen Ger&ten besteht, be- 
20 schrieben, Dargestellt sind eine erste, tragbare Einheit 1 , eine GBsteeinheit 1 3 und ein 
Personal-Computer (PC) 2 als ein im Hausnetzwerk neues Gerat. Die drahtlosen Gerate 
des Hausnetzwerks besitzen alle entspiechende 9 .am Beispiel des PCs 2 beschriebene 
Komponenten 8 bis 12. 

25 Die erste Einheit 1 besteht aus einem Speicher 3 zur Speicherung eines Schiussel- 
datensatzes 4, einer ersten Taste .5 als eine Einheit zur Ausldsung einer Schttissel* 
iibertragung und einem ersten Sender 6, der als eine drahtlose Schnittstelle zum 
Aussenden des Schiusseldatensatzes 4 dient Die Einheit 1 zeichnet sioh durch ihre 
kurze Reichweite von maximal etwa 50 cm aus. 

30 
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Die GSsteeinheit 13 beinhaltet eine als SchKlsselgenerator 14 beaeichnete Komponente 
zur Erzeugungvon Schlttsseldatensatzen, zB, nach dem Zufellsprinzip, eine zweite 
Taste 15 und einen zweiten Sender 16, Die GSsteeinheit 13 ermeglicht Gasten mit 
eigenen Geraten (die nicht ziim Hausnetzwerk gehoren) einen ggf. nur beschr&nkten 
5 ZugrifF auf die GerSle und Anwendungen des Hausnetzwerks. Deshalb wird ein durch 
den SchKisselgenerator 14 erzeugter Schltzsseldatensatz als Gast-Sohliisseldatensatz 17 
bezeichnet. 

Der PC 2 ist ein mit einer nach dem IEEE802, 11 -Standard arbeitenden Punkschrdttstelle 
10 12 ausgestattetes Ger&t, dessen Furikschnittstelle 12 durch eine als TVeibersoftware 10 
bezeichnete Komponente kontrolliert wird und zur Obertragung yon Nutzdaten (Musik, 
Video, allgemeine Daten, aber auch Steuerdaten) dient. Die Txeibersoftware 10 kann 
tiber standardisierte Softwareschhittstellen (APIs) von anderen Softwarekomponenten 
angesprochen werden. Zusatzlich ist der PC 2 mit einer Empfangseinheit 7 ausgestattet 
15 Die Empfangseinheit 7 besteht aus einem Empfanger 9, der als Schnittstelle zmn 
Empfang der von Sendern 6 oder 16 gesendeten SchlusseldatensStze 4 oder 17 vor- 
gejsehen ist. In der Empfangseinheit 7 ist als Auswertekomponente eine EmpfSngeiy 
software 1 1 vorgesehen, die nach Erhalt eines Schliisseldatensatzes aus diesem einen 
Schlittssel 1 8 (z. B einen in dem DBEE802.il Standard definierten Wired Equivalent 
20 Privacy (WEP)-Schlttssel) extrahiert und diesen Schltissel 1 8 ifoer eine standardisierte 
Management-Schnittstelle (als MIB (Management Information Base) - Attribut beim 
IEEE8Q2.1 1-Standard) an, die Treibersoftware 10 weiterleitet. Der PC 2 weist eine 2jim 
Betrieb des PCs notwendige Anwendungssoftwaxe 8 auf. 

25 ' Ein Benutzer mCchte den PC 2 ins Hausnetzwerk installieren und drahtlos mit einer 
HiFi-Anlage des Hausnetzwerkes verbinden, damit er mehrere im PC 2 gespeicherte 
Musikdateien im MP3-Format auf seiner HiFUAnlage abspielen kann. Dazu begibt sich 
der Benutzer mit der Einheit 1 in die Nahe des PCs 2 und startet eine Obertragung des 
im Speicher 3 gespeicherten Schlttsseldatensatzes 4, indem er aus einer Entfemung von 

30 einigen Zentimetern den Sender 6 der Einheit 1 auf den Empf&nger 9 richtet und die 
Taste 5 der Einheit 1 betatigt. 
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Bei der Obertragqng des Schliisseldatensatzes 4 werden Infrarotsignale verwendet. Das 
Format des Schliisseldatensatzes 4 ist eine 1024 Bit-Sequen2 4 aus welcher die Emp- 
fSngersoftware 1 1 die 128 low-order Bits extrahiert und als (WEP-)Schllissel 18 an die 
Trcibersoftware 10 weiterleitet. In der Treibersoftware 10 wird dieser Schliissel 18 2UT 
. 5 VerscMiisselimg des Daten^^^ 

anderen Geraten, bei denen ebenfalls die Eingabe des ScMtisseldatensatzes 4 statt- 
gefunden hat, verwendet Dies be2ieht sich auch auf die nachfolgend zur Auto«Konfi- 
guxation der Netzwerkanbindung des PCs an das Hausnetz (z.B. Konfiguration einer IP- 
Adresse) notwendige Kommunikation mit den schon im Netzwerk vorhandenen 
10 Geraten. 

Verschiedene UmstSnde IcOnnen die Installation eihes neuen Scbliissels erfbrdenii z.B. 
\yenn die Einheit dem Benutzer abhanden kommt, ein neues Gerat installiert werden 
soli Oder wenn der Benutzer einen Verdacht bat, das? sein Hausnetzwerk nicht mehr 
1 5 geschutzt ist Grundsatzlich kann eine neue Einheit mit eiriem neuen Schlftsseldatensatz 
den zuletzt eingegebenen (alten) Schlusseldatensatz Hberschreiben, wobei d&in der neue 
SchliJsseldatensatz an alien Geraten des Hausnetzwerks neu eingegeben werden muss. 

Ein nussbr&uchliches Bingeben eine?. neuen Schliisseldatensatzes in das Hausnetz kann 
20 dadurch verhindert werden, dass mindestens ein Gerft des.Hausnetzes fur unbefagte 
.- Personen nicht fiei zugSnglich ist. Dieses Gerat kann nach der unbefugten Eingabe des 
neuen Schliisseldatensatzes in die anderen GerSte des Hausnetzes nicht mehr mit diesen 
kommunizieren und z.B. einen entsprechenden Alarm auslSsen* 

25 Urn die Sicherheit des Hausnetzwerks zu erhShen, kann es aber auch Vorschrift sein, 
dass zur Eingabe eines neuen Schlttsseldatensatzes die zusatzliche Eingabe des alten 
Schliisseldatensatzes 4 erforderlich ist. Dazu begibt sich der Benutzer mit der alten und 
der neuen Einheit in die direkte Nahe des PCs 2 oder eines anderen Gerates des Haus- 
netzwerks. 'Der Benutzer betatigt die Taste S der alten Einheit 1 zip* (nocbmaligen) 

30 Efbertragung des alten Schliisseldatensatzes 4. Kurz darauf startet der Benutzer die 
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CbertragUttg des neuea SchlOsseldatensatzes, indem er bel der neuen Einhelt die Taste 
zur AuslSsung der Ubertragung betatigt. 

Die Empfiingersoftware 1 1 des PCs 2 registriert den Empfang des alten Schlttssel- 
5 datensatzes 4 und empf&igt danach den neuen Schlusseldatensatz. Nur iinter der 
Bedingung, dass die EmpfSngersoftware 1 1 zuvor den Empfang des alten Schltlssel- 
datensatzes 4 registriert hat, leitet sie den neuen SchlOsseldatensatz bzw. den ent- 
baltenen Schliissel fiber die Management-Schnittstelle an die Treibersoftware 10 der 
Funlcsclinittstelle 12 welter, Damit eine Verschliisselung des Datenverkehrs auf Basis 
10 , des neuen Schliipsels stattfinden kann, muss die oben beschriebene Eingabe des neuen 
SchlQsseldatensatzes an alien Geraten des Hausnetzwerks vorgenommen werden. 

Ein erhohtes MaB an Sicherheit bei der Eingabe eines neuen Schlttsseldatensatzes Icann 
eraelt werden, wenn die EmpfSngersoftv^are 11 die Eingabe eines neuen Schlttssel- 
15 datensatzes nur akzeptiert, d.h. den enthaltenen Schliissel weiterleitet* wenn der neue 
Schlusseldatensatz mehrfaoh und in gewissen zeitlichen AbstSnden in das Gerat ein? 
geben wird, wobei Anzahl und zeitlicher Abstand der geforderten Eingaben nur dem 
Benutzer bekannt sind. 

20 Ein erhohtes MaB an Sicherheit des Hausnetzes kann auch dadurch erzielt werden, dass 
ein.Schlusseldatensatz regelmaBig nach Ablauf einer gewissen Zeitspanne (mehrere 
Tage/Wochen/Monate) emeut an mindestens ein GerSt des Hausnetzes tiberttagen 
werden muss. 

25 Mit Hilfe der Gasteeinheit 13 kann der Benutzer einem Gast Zugrtff auf den PC 2 

gewShren. Dazu begibt sich der Gast Oder der Benutzer in die Nahe des PCs 2 und KJst 
durch das Betatigen der Taste 15 eine Obertragung des durch den Schlusselgenerator 14 
erzeugten Gast-Schliisseldatensatzes 17 aus. 



30 
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Der Gast-Schlilsseldatensatz 17 besteht aus einer Bitfblge mit zusatzlichen Bits zur 
Obertragung weiterer Liformationen. Die zus&triichen Bits kennzeicbnen den SohUissel- 
datensatz als Gas^ScMtisseldatensatz und dienon zur Unterscbeidiing der SchlftsseU 
dateos&tze von anderen Informatione^ falls die Empfangseinbeit als Schnittstelle fur 
5 weitere Anwendungen genutzt wird. 




Die Empfangsetahcit 7 empf&ngt den Gast-Schlusseldatensatz 17. Die EmpfSngeiv • 
software 1 1 identifiziert den Schttteseldatensatz anhand der zusatzlichen Bite als Gast- 
Schliisseldatensatz 1 7 und leitet den extrahierten Schiiissel als zusatzlichen (WEP- 
1 0 )Schllissel tiber die Management-Schnittstelie an die Treibersoftware 1 0 der Funk- 

schnittstelle 12 waiter. Die Treibersoftware 10 verwendet den Schltissel als zi*s£t2lichen 
Schltissel zur Verschlusselung des Datenverkehrs. 

In der im IEEE802,1 1 Standard definierten Wired Equivalent Privacy (WEP)-Ver- 
1 5 schltisselung ist eine parallele Verwendung von bis zu vier WEP-ScblUsseln vbr- 
gesehen. Die Ger&te des Netzwerlcs sind in der Lage zu erkennen, welcher der WEP- 
Schltissel aktuell zur Verschlttsselung verwendet wird.. 




Die Eingabe des Gast-Schlxisseldatensatzes 17 wird an alien Ger&ten des Hausnetzwerlcs 
20 wiederholt, die der Gast nutzen mtichte, sovyie an den GerMten des Gastes (z.B. Laptop), 
mit denen dieser Zugriff auf das Hausnetzwerk, z,B. auf die MP3-Dateien auf PC 2, 
erbalten mSchte, 

Um dem Benutzer die Kontrolle uber die Dauer des gewShrten Gast-Zugangs zum 
25 Hausnetz zu ermoglichen, wird automatisch nach einer festgelegten Zeitspanne (z.B. 
lOh) Oder durch Benutzer-Interaktion (z.B. Eingabe des Heim-Schltt$seldatensatzes 4 an 
den Hausnetz-Geraten) der Gast-SchKisseldatensatz 17 in den Geraten des 
Hausnetzwerks geloscht 



30 
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Um eine tmbefugte Benutzung eines Gast-Schlilsseldatensatees durch einen fiiiheren 
Gast zu verhindem, erzeugt der SchliJsselgenerator nach. einer festgelegten Zeitspanne 
automatisch einen neuen Gast-Schltisseldatensatz nach dem Zufallsprinzip. 

5 Fig, 2 zeigt ein Blockschaltbild einer tragbaren Einheit 1 9 bei Verwendung einer Hoch- 
frequenz-Transpondertechnologie zur Obertragung des Schliisseldatensatzes 4. Die 
tragbare Einheit 19 besteht aus einem digitalen Teil 26, das einen Speicher 20 (wie z. B 
ROM) zur Speicherung des SchlHsseldatensatzes, eine Ablaufeteuerung 21 und einen 
Modulator 22 zur Umsetzung eines aus der Ablaufsteuerung 21 kommenden Bitstroms ' 
10 in zu tlbertragene Hochfeequenzsignale enthalt Weiterhin besteht die Einheit 19 aus 
einer Weiche 23 zur Trennung der durch ein als Antenne 25 bezeichnetes passives 
Bauelement empfangenen elektromagnetischen Energie von dem zu iibertragenen Hoch- 
frequenzsignal, einer Spannungsversorgungseinheit 24 mit Spannungsdetektor zur 
Versorgung des digitalen Teils 26 mit einer Betriebsspannung und der Antenne 25 zur 
1 5 tJbertiagijng des aus der Weiche 23 kommenden Bitstroms als auch zum Empfang der 
fSr den Betrieb notwendigen Energie. 

Zur Ubertragung des Schliisseldatensatzes 4 begibt sicli der Benutzer mit der tragbaren 
Einheit 19 In unmittelbare Nahe der Empfangseinheit 7. Die Antenne 25 leitet die ein- 
20 strSmende Energie von der Empfangseinheit 7 liber die Weiche 23 an die Spannungs- 
versorgungseinheit 24 mit Spannungsdetektor weiter, Falls ein Schwelleawert der 
Spanntmg in dem Spannungsdetektor tiberschritten wird, sorgt die Spannungsver- 
"j sorgungseinheit 24 Air eine Betriebsspannung in der Einheit 19. Durch die Betriebs- 

spannung angeregt wird die Ablaufsteuerung 21 initialisiert und liest den in dem 
25 Speicher 20 gespeicherten Schltisseldatensatz aus. Der Schltlsseldatensatz wird durch 
die Ablaufsteuerung 21 in ein geeignetes Nachrichtenfotmat eingebettet und an den 
Modulator 21 zur Umwandlung in analoge Hochfrequenzsignale weitergeleitet. Die 
Hochiirequenzsignale werden uber die Weiche 23 durch die Antenne 25 ausgesendet. 

30 
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in Fig. 3 ist die Einheit 1 9 als Empfangs- und Sendeeinheit bei Verwendung der 
gleichen'TecJmolQgie wie in Fig. 2 dargestellt In dleser Darstellung sind gleiche oder 
entsprechende Elemente und Komponenten wie in Fig; 2 jeweils mit gleichen Bezugs- 
ziffem bezeichnet Insoweit wird auf die Beschreibung im Zusammenhang mit Fig, 2 
Bezug genommen, und nachfolgend werden nur die Unterschiede erlautert. 

In dieser Ausfllhrungsfonri weist die Einheit 19 neben dem Modulator 21 einen 
Demodulator 27 auf. Der Speicher 20 wird durch einen ISschbaren Speicher wie z.B. 
einen elektrisch lOschbaren Speicher eines EBPROM iealisiert 





10 



Durch den Demodulator 27 ist die Einheit 19 in der Lage, ein durch die Antenne 25 
(zusatzlich zur einstromenden Energie) empfangenes und iiber die Weiche 23 weiter- 
geleitetes Hochfrequenzsignal in eine Bitfolge umzusetzen. Die vom Demodulator 27 
lcommende Bitfolge wird durch die Ablaufsteuerung 21 verarbeitet. Die Verarbeitung 

15 der Bitfolge kann in einem Zugriff der Ablaufsteuerung 21 auf den Speicher 20 
resultieren, fells die Ablaufsteuerung 21 feststellt, dags die Bitfolge Informationen 
enthSlt, die die Empfangseinheit zum Empfang des Schltisseldatensatees berechtigen. 
Falls die Empfangseinheit berechtigt ist, den Sohiiisseldatensatz zu empfangen, liest die 
Ablaufsteuerung 21 den SchKisseldatensatz aus und leitet ihn wie in Fig. 2 beschrieben 

20 zur Aussendung an die Antenne 25 weiter. 

Durch den Demodulator 27 ist es des weiteren mSglich, einen neuen SchlUsseldatensatz 
in die Einheit 19 einzubringen, Wird der Speicher 20 als beschreibbarer Speicher (z,B. 
EEPROM) realisiert, lasst sich auf diese Weise der in der Einheit 19 enthaltene Schiifc- 
25 seldatensatz durch einen neuen Schliisseldatensat2 ersetzen. 

In Fig. 4 ist die Einheit 19 als eine GSsteeinheit 28 bei Verwendung der gleichen * 
Technologie wie in Fig. 2 dargestellt. In dieser Darstellung sind ebenfells gleiche Oder 
entsprechende Elemente und Komponenten wie in Fig> 3 jeweils mit gleichen Bezugs- 
30 ziffem bezeichnet. Insoweit wird auf die Beschreibung im Zusammenhang mit Fig. 3 
Bezug genonunen, und nachfolgend werden nur die Unterschiede erlautert 



turn 29.07,02 16:08 FAXG3 Nr: 556420 von NVS:FAXG3.I0.01 01/0241 7040170 (Seite 22 von 28) 





PHDE020188 

19- 1 



Die GSsteeinheit 28 weist zusStzlich einen SchKisselgenerator 29 auf; der mit der 
Ablaufsteuerung 21 verbunden ist mid zur Erzeugung einer Folge von Gastschlussel- 
datensatzen dient 

5 Nachdem die durch die Antenne 25 in vmmittelbarer Nahe der Empfangseinheit 7 
einstromende Energie in der Spaimungsversorgungseinheit 24 mit Spannungsdetektor 
detektiert wurde, wird die digitale Einbeit 26 durcb die Spannungsversorgungseinheit 
1 24 mit einer Betriebsspannung versorgt. Die Ablaufsteuerung 21 liest einen durch den 
Schliisselgenerator 29 erzeugten Schlttsseldatensatz em. Nachdem die Ablaufsteuerung 
10 21 den Schlusseldatensatz erhalten hat und in ein geeignetes Naclnichtenfoimat ein- 
gebettet hat, leitet sie ihn weiter zur Versendung an den Modulator 22 und schreibt 
gleichzeitig den Schttisselsatz in den Speicher 20 ein, der flir diesen Zweck als 
beschreibbarer Speicher ausgeffthrt sein muss (z.B. EEPROM). 

/ 

15 In einer zweiten Betriebsart wird vom Schlflsselgen$rator in regelmaQigen AbstSnden 
(zum Beispiel einige Mhmten Oder Stunden) ein neuer Schltisseldatensatz erzeugt und 
im wiederbeschreibbaren Speicher 20 abgelegt Der weitere Ablauf eutspricht dann den 
Erlauterungen wie zu Fig, 2 und Fig. 3 angegeben. 

20 Die AusftUirungsfoim der Einheit 1 9 mit SchlUsselgenerator wie in Fig. 4 geseigt ist 
auch mit der in Fig. 2 gezeigten Ausfuhrungsform (ohne Demodulator 27) 
kombixiierbar. 



25 
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1 . Sicherheitssystem ftir drahtlose Netewerke mit 

einer ersten tragbaren Einheit (1 ) mit einem Speicher (3) zur Speicherung eines 
weltweit eindeutigen Schlttsseldatensatzes (4), die zur Kurzstiedceiiinfonnations- 
iibertragung des Schlttsseldatensatzes (4) vorgesehen ist, und 
- mindestens einer Empferigseinheit (7) in wenigstens einem draMosen Gerat (2) des 
Netzwerks, die einen EmpfSnger (9) zum Empfang des Schliisseldatensatzes (4) und 
eine Auswertekomponente (1 1) des Gerates 2ur Speicherung, Verarbeitung und/oder 
Weiterleitung des Schlilsseldatensatzes (4) oder eines Teils des Schlttsseldatensatzes 
in eine zweite Komponente aufweist/ 

2. Sicherheitssystem nach Anspruoh 1, 
dadurch gdcennzeichnet 

dass die erste Einlieit (1) eine AuslSseeinheit (5) zur Auslosung einer 



15 

3, Sicherheitssystem nach Anspruch 1, t • 
dadurch_gekennzeichnet 

dass bei AnnSherung an die Empfangseiriheit (7) eine in der Einheit (1) enthaltene 
Detektoreinheit zw AuslOsung der Kui^ireckeninformatioi^tiberiTagxjng des 
20 Schlusseldatensatzes (4). vorgesehen ist. 

4. Sicherheitssystem nach einem der Ansprttche 1 bis 3, ' 
dadurch gekennzeichnet . 

da& ein Schlttsselgenerator (14) in der ersten Einheit (1) oder einer zweiten Einheit 
25 ' (13)zurEizeugxmgeinerFolgevonGast-SchItisseldatensatzen(17) vorgesehen ist 
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5. Sicherheitssystem nach einem der AnsprQche 2 bis 4, 
dadurch gekennzeiohnet " 

dass die erste Einheit (1) beim Betfitigen einer zweiten AuslOseeinheit (1 5) zur 
ttbertragung eines Gast-SchlUsseldatensatzes (17) vorgesehen ist. 

6. Sicherheitssystem nach Anspruch 1 oder 5 3 
dadurch gft V^T^nhn^ 

dass der Schlttsseldatensatz (4) und der Gast-Schliisseldatensatz (17) jeweils aus einer • 
Bitfblge bestehen. 

7. Sicherheitssystem nach Anspruch 1, 
dadurch gekennzeichnet 

dass die erste Einheit (1) ein Teil eines Gerates, insbesondere einer Fembedienung, ist. 

15 8. Sicherheitssystem nach Anspruch 1, 
dadurch gekennz^ichTiet,, 

dass eine Eingabe des Schlflsseldatensatzes (4) wahrend oder vor einer 
Netzwerkkonfiguration, insbesondere einer automalischenNetz^rldconflguration, 
eines Gerates (2) vorgesehen ist 

20 

9. Sicherheitssystem nach Anspruch 6, 
dadurch gekennseichnet 

dass der Schlusseldatensatz (4) und der Gast-Schliisseldatensatz (17) 
Kennz^ichnungsbits enthalten, die zur Unterscheidung zwischen Schltisseldatensatzen 
. 25 . (4, 1 7) und anderen Bitfolgen vorgesehen sind und die Bitfolgen als Schltisseldatensatz 
(4) Oder als Gast-Sbhltisseldatensatz (17) kennzeichnen. 



j 
l 
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10. Sicherheitssystem nach Anspmch 4, 
dadurch gekenTireichnet, 

dass das Garat (2) zur Loschung des Gast-Schltlsseldatensatzes (17) vorgesehen ist. 

5 11. Sicherheitssystemnach Anspruch4, 

dass das Ger&t (2) mittels eines im Schlttsseldatensatz (4,17) enthaltenen Schlflssels zur 
Aiithentifizierung und Verschlusselimg zu ttbertragenet Nutzdaten zwiscben den 
GerSten des Netzwerks vorgesehen ist 

10 

12. Tragbare Etoheit (1) zur Installation eines gemeinsamen SchKissels in wenigstens 
einem Gerat (2) eines drahilosen Netzwerkes mit einem Speicher zur Speicherung eines 
weltweit eindeutigen Schiflsseldatensatzes (4), die zur 

kurzstreckeninformationsiubertragung des Schltisseldatensatzes vorgesehen ist. 

15 

13. Elektrisches Gem (2) mit einer Empfangseinheit (7), die einen EmpfSnger (9) 2wm 
Empfeng eines Schlttsseldatensatzes (4) urid eine Auswertekomponente (11) des 
Gerates (2) zur Speicherung, Verarbeitung und/oder Weiterleitung des 
Schlttsseldatensatzes oder eines Teils des Schlttsseldatensatzes in eine zweite 

20 Komponente(lO) auftveist 
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FIG. 1 




FIG. 2 
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FIG. 4 
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